Warum lohnt sich dieser Kurs?
Mit dem NISG 2026 rücken Geschäftsführung und Vorstand erstmals direkt in die Verantwortung für Cybersicherheit. Persönliche Haftung, gesetzliche Schulungspflichten und umfassende Governance-Anforderungen machen ein fundiertes Verständnis der neuen Vorgaben unverzichtbar.Kursüberblick
Mit dem NISG 2026 setzt Österreich die europäische NIS-2-Richtlinie um und verschärft die Anforderungen an die Cybersicherheit zahlreicher Unternehmen. Erstmals stehen dabei Geschäftsführer*innen und Vorstände selbst im Fokus der gesetzlichen Vorgaben. Persönliche Haftungsrisiken, hohe Geldbußen und konkrete Governance-Pflichten machen Cybersicherheit zu einem Thema auf Leitungsebene.Besondere Bedeutung kommt dabei § 31 NISG 2026 zu. Leitungsorgane müssen Risikomanagementmaßnahmen billigen, deren Umsetzung überwachen und an speziell für sie vorgesehenen Cybersicherheitsschulungen teilnehmen. Gleichzeitig entstehen neue Anforderungen an Meldeprozesse, Dokumentation, Nachweiserbringung und die Zusammenarbeit mit Informationssicherheits- und IT-Verantwortlichen.
Das Seminar vermittelt kompakt, welche Pflichten sich aus dem NISG 2026, der NIS-2-Richtlinie und den Vorgaben zum Cybersicherheits-Risikomanagement ergeben. Konkrete Praxisfälle zeigen, wie Leitungsorgane ihre Verantwortung wahrnehmen, Risiken reduzieren und die gesetzlichen Fristen sicher einhalten können. Gleichzeitig dient die Teilnahme als Nachweis der gesetzlich vorgesehenen Schulungspflicht gemäß § 31 NISG 2026.
Kursinhalte
NISG 2026 – Überblick und Anwendungsbereich- Das Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026) setzt die NIS-2-Richtlinie (EU) 2022/2555 in Österreich um
- Inkrafttreten am 1. Oktober 2026 löst das bisherige NISG 2018 ab
- Rund 4.000 Unternehmen aus 18 Sektoren sind als wesentliche oder wichtige Einrichtungen betroffen
- Schwellenwerte der Betroffenheit umfassen ab 50 Mitarbeitende oder über 10 Mio. Euro Umsatz/Bilanzsumme
- Die Cybersicherheitsbehörde im Bundesamt für Cybersicherheit übernimmt die zentrale Aufsicht
- § 31 NISG 2026 richtet die Governance-Pflichten direkt an Geschäftsführung und Vorstand
- Geschäftsführer:innen der GmbH und Vorstände der Aktiengesellschaft bilden den Adressatenkreis
- Leitungsorgane müssen Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen
- Die Teilnahme an spezifisch für Leitungsorgane konzipierten Cybersicherheitsschulungen ist Pflicht
- Allgemeine Mitarbeiterschulungen erfüllen die Schulungspflicht der Leitungsorgane nicht
- Geschäftsführer:innen und Vorstände haften erstmals persönlich für Cybersicherheitsversäumnisse
- Geldbußen reichen bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes
- Gesellschaftsrechtliche Regressansprüche ergänzen die behördlichen Sanktionen
- Nicht-Registrierung oder fehlende Selbstdeklaration zieht Geldstrafen bis zu 100.000 Euro nach sich
- Sorgfaltswidriges Handeln kann zu Schadenersatzansprüchen gegenüber Leitungsorganen führen
- § 32 NISG 2026 verpflichtet zu einem risikobasierten Ansatz mit zehn Maßnahmenbereichen
- Richtlinien für Risikoanalyse und Sicherheit der Informationssysteme bilden die Grundlage
- Bewältigung von Sicherheitsvorfällen umfasst Reaktions- und Wiederherstellungspläne
- Sicherheit der Lieferkette erfordert Kontrolle direkter Zulieferer und Dienstleister
- Konzepte zur Bewertung der Wirksamkeit der Risikomanagementmaßnahmen sind verpflichtend
- Frühwarnung an die Cybersicherheitsbehörde erfolgt binnen 24 Stunden nach Kenntnis
- Erste Meldung mit Bewertung des Vorfalls ist binnen 72 Stunden einzureichen
- Abschlussbericht umfasst Ursachen, Auswirkungen und ergriffene Maßnahmen nach einem Monat
- Grenzüberschreitende Vorfälle erfordern Information der Behörden betroffener EU-Mitgliedstaaten
- Unterlassene oder verspätete Meldung führt zu eigenständigen Sanktionen
- Registrierung betroffener Einrichtungen bis 31.12.2026 ist Pflicht (drei Monate nach Inkrafttreten)
- Selbstdeklaration zu umgesetzten Risikomanagementmaßnahmen bis 30.09.2027 erforderlich
- Nachweiserbringung gegenüber der Cybersicherheitsbehörde frühestens ab 01.10.2028 möglich
- Qualifizierte Stellen unterstützen bei der Prüfung und Dokumentation der Umsetzung
- Das Informationssicherheitsmanagementsystem (ISMS) bildet den praktischen Umsetzungsrahmen
- Fallstudien zu Haftungskonstellationen bei GmbH und Aktiengesellschaft verdeutlichen das persönliche Risiko
- Strukturierter Umsetzungsfahrplan orientiert sich an den gesetzlichen Fristen
- Zusammenspiel zwischen Leitungsorganen, CISO und IT-Verantwortlichen wird geklärt
- Dokumentationsanforderungen für die Nachweisführung werden konkretisiert
- Typische Fehler bei der Ersteinstufung als wesentliche oder wichtige Einrichtung werden vermieden
Zielgruppe
Geschäftsführer:innen und Vorstände von Unternehmen im NISG-2026-AnwendungsbereichReferenten
-
Boris Treml
Datenschutz-Experte
